RADIUS远程用户拨号认证系统详解-五星文库
免费文档下载
RADIUS远程用户拨号认证系统详解
导读：Kerberos是一种网络认证协议，其设计目标是通过系统为客户机/服务器提供强大的认证服务，该认证过程的实现不依赖于主机操作系统的认证，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的，TACACS-终端访问控制器访问控制系统TerminalAccessContro，TACACS（终端访问控制器访问控制系统）对于Unix网络来说是一个比较老的认
Kerberos这一名词来源于希腊神话“三个头的狗――地狱之门守护者”
Kerberos 是一种网络认证协议，其设计目标是通过系统为客户机 / 服务器提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。
TACACS-终端访问控制器访问控制系统Terminal Access Controller Access-Control System
TACACS（终端访问控制器访问控制系统）对于Unix网络来说是一个比较老的认证协议，它允许远程访问服务器传送用户登陆密码给认证服务器，认证服务器决定该用户是否可以登陆系统
TACACS+其实是一个全新的协议。TACACS+和RADIUS在现有网络里已经取代了早期的协议。TACACS+应用传输控制协议（TCP），而 RADIUS使用用户数据报协议（UDP）。一些管理员推荐使用TACACS+协议，因为TCP更可靠些。RADIUS从用户角度结合了认证和授权，而 TACACS+分离了这两个操作。
我对authentication已经比较了解，但是对authoriztion还比较模糊,这次测试tacacs+,使我对authorization也开始了解了.授权简单的说就是给用户开放某些资源.
我们目前支持EXEC 授权, 即给用户执行某些命令的权利, 在这里的命令就是我们的CLI command.我们可以详细的配置一个用户可以执行某些CLI command,不能执行某些CLI command.确实可以管理得非常严格.当每次执行command时都会到tacacs+ server上去进行授权.不过当我们允许用户配置某一项,而它的sub config中如果还有很多command,我们也许要逐项添加,也有点麻烦.但可以对命令和参数进行这么详细的管理,感觉还挺有用的,不用担心有的用户 乱操作了.这个功能只限于CLI, 在web UI上是没有用的, 它的作用又显得不太重要了.
RADIUS协议
Raidus（Remote Authentication Dial In User Service）是对远端拨号接入用户的认证服务，Radius服务分客户端和服务器端，通常我们公司的接入产品支持的是客户端，负责将认证等信息按照协议的格式通过UDP包送到服务器，同时对服务器返回的信息解释处理。
通常对Radius协议的服务端口号是1645（认证）、1646（计费）或1812（认证）、1813（计费）。
1、Code：包类型；1字节；指示RADIUS包的类型。
2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。
3、Length：包长度；2字节；整个包的长度。
4、Authenticator：验证字；16字节；用于对包进行签名。
Code：包的类型
包类型占1个字节，定义如下：
Access-Request――请求认证过程
Access-Accept――认证响应过程
Access-Reject――认证拒绝过程
Accounting-Request――请求计费过程
Accounting-Response――计费响应过程
Status-Server (experimental)――实验的
Status-Client (experimental)――实验的
Reserved――保留的
Identifier：包标识
包标识，用以匹配请求包和响应包。
该字段的取值范围为0～255；
协议规定：
1、在任何时间，发给同一个RADIUS服务器的不同包的Identifier域不能相同，如果出现相同的情况，RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理。
2、Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配（相同）。 Length：包长度
整个包长度,包括Code,Identifier,Length,Authenticator,Attributes域的长度。
Authenticator：验证字
该验证字分为两种：
1、请求验证字---Request Authenticator
用在请求报文中,必须为全局唯一的随机值。
2、响应验证字---Response Authenticator
用在响应报文中，用于鉴别响应报文的合法性。
响应验证字＝MD5(Code+ID+Length+请求验证字+Attributes+Key
Radius Server与NAS（Network Access Server）在全网中的位置
NAS?Radius认证计费过程
1、用户拨入后（1），所拨入的设备（比如NAS）将拨入用户的用户的信息（比如用户名、口令、所占用的端口等等）打包向RADIUS服务器发送（2）。
2、如果该用户是一个合法的用户，那么Radius告诉NAS该用户可以上网，同时传回该用户的配置参数（3）；否则，Radius反馈NAS该用户非法的信息（3）。
3、如果该用户合法，MAS就根据从RADIUS服务器传回的配置参数配置用户（4）。如果用户非法，NAS反馈给用户出错信息并断开该用户连接（4）。
4、如果用户可以访问网络，RADIUS客户要向RADIUS服务器发送一个记费请求包表明对该用户已经开始记费（5），RADIUS服务器收到并成功记录该请求包后要给予响应（6）。
5、当用户断开连接时（连接也可以由接入服务器断开）（7），RADIUS客户向RADIUS服务器发送一个记费停止请求包，其中包含用户上网所使用网络资源的统计信息（上网时长、进/出的字节/包数等）（8），RADIUS服务器收到并成功记录该请求包后要给予响应（9）。
RADIUS的通信是用“请求 - 响应”方式进行的，即：客户发送一个请求包，服务器收到包后给予响应。RADIUS协议采用的是UDP协议，数据包可能会在网络上丢失，如果客户没有收到响应，那么可以重新发送该请求包。多次发送之后如果仍然收不到响应，RADIUS客户可以向备用的RADIUS服务器发送请求包。
包含总结汇报、党团工作、文档下载、资格考试、人文社科、专业文献、旅游景点、出国留学、办公文档以及RADIUS远程用户拨号认证系统详解等内容。本文共3页
相关内容搜索WiPortal用户认证门户管理系统
WiPortal用户认证门户管理系统
&WiPortal是Wi-Fi或者web认证强推的认证门户系统，能够动态的展示商家的基本信息、产品信息、广告信息、多样化认证上网功能及第三方应用功能。
WiPortal产品功能特点：
1.&&&&&&&基于Linux系统、J2EE进行研发。
2.&&&&&&&通过Portal系统可以展示商家的LOGO、背景图、店铺简介等信息。
3.&&&&&&&通过Portal系统可以展示商家所属的产品信息，能够展示产品的图片、内容、价格、外链等信息。
4.&&&&&&&通过Portal系统可以友好的展示商家的宣传广告，能够展示广告的图片内容和简介等信息，为商家进行很好的宣传作用。
5.&&&&&&&通过Portal系统可以进行多样化的认证，包括：手机号认证、密码认证、一键登录、QQ登录、微博登录、微信登录、支付宝认证、二维码认证八种认证方式。
6.&&&&&&&通过portal系统可以进行其它第三方应用展示，例如：网址导航、应用下载、外卖预定等功能。
7.&&&&&&&支持华为、H3C、中兴、寰创、锐捷等中国移动portal2.0协议标准，支持Cisco的私有portal认证协议，支持优科的私有portal认证协议，支持华为的私有认证协议。
8.&&&&&&&支持多模版机制，商家可以通过自由切换模版来切换portal的显示。
WiPortal产品优点
1.&&&&&&&&系统基于云计算架构进行搭建，能够快速响应并处理复杂的业务逻辑。
2.&&&&&&&&能够展示商家的基本信息、产品信息和广告信息等内容。
3.&&&&&&&&支持集成第三方应用，便于进行第三方营销。
我的热门文章
即使是一小步也想与你分享查看:12794|回复：9
助理工程师
首先wpa/wpa2的和wpa-psk/wpa2-psk有什么不同，我觉得前者需要认证服务器存储的用户名密码，而后者只要知道密码就可以访问，前者还需要额外的一台服务器，这有什么好处吗？？
使用radius认证服务器认证，是否可以选择不同用户的权限？？总觉得没实际意义
中级工程师
wpa/wpa2的和wpa-psk/wpa2-psk这个不是加密方式吗？怎么跟认证服务器是否记住密码有关了。
只要是认证服务器都需要一个数据库来记录用户名和密码，认证的时候会将认证信息和数据库匹配，一致就通过认证，不一致就拒绝。
不同的radius系统功能也不一样，但做到不同的用户权限不同还是没有问题的。
助理工程师
引用:原帖由 流水潺潺 于
11:22 发表
wpa/wpa2的和wpa-psk/wpa2-psk这个不是加密方式吗？怎么跟认证服务器是否记住密码有关了。
只要是认证服务器都需要一个数据库来记录用户名和密码，认证的时候会将认证信息和数据库匹配，一致就通过认证，不一致就拒绝。
不同 ... 无线设备接入时需要认证才可以通过，有线设备则不需要。认证后客户的账户只能访问外网无法访问公司内网资源，员工则都可以访问 这样的需求有没有比较好的方案
然后顺便问下，ac（无线控制器）接在核心交换机上，它怎么可以跨越多个vlan管理多个ap呢？它需要核心交换机为其划分vlan吗
中级工程师
引用:原帖由 qixifeifei 于
11:32 发表
无线设备接入时需要认证才可以通过，有线设备则不需要。认证后客户的账户只能访问外网无法访问公司内网资源，员工则都可以访问 这样的需求有没有比较好的方案
然后顺便问下，ac（无线控制器）接在核心交换机上，它怎么可以跨越 ... 将无线上网的用户单独划分出来，比如单独的VLAN和IP地址段，然后用ACL禁止这个地址段的用户访问公司内网服务器。
AC这块我也接触的不多，不熟悉。不过AC和AP管理VLAN尽量用一个吧。只要AP和AC通信没问题AC才能给AP下发模板。你AC接在核心交换机上的，所有AC和AP用到的VLAN核心交换机上肯定也会配置，不然怎么通过核心交换机呢。
助理工程师
引用:原帖由 流水潺潺 于
11:56 发表
将无线上网的用户单独划分出来，比如单独的VLAN和IP地址段，然后用ACL禁止这个地址段的用户访问公司内网服务器。
AC这块我也接触的不多，不熟悉。不过AC和AP管理VLAN尽量用一个吧。只要AP和AC通信没问题AC才能给AP下发模 ... 恩恩，你想的跟我想的都差不多，我一开始的设想就是用acl隔离开，因为就算用了无线认证，你还是要给他们分配单独账户，跟这个殊途同归。 上次跟你问的三层是否需要跟上段路由做默认路由，因为我当时觉得路由上有nat就可以把私网转到公网上了，所以只需要路由上做静态路由，它能够进到三层交换上，回来的话只需要回到路由接口上其他的事情让nat搞定就成了，要是写了条0.0.0.0 0.0.0.0的话那还要nat干吗，最后又个大哥不断的驳斥我，但是又不说原因，一团乱，到底是做还是不做
助理工程师
跟楼主分享下我们公司用radius认证的方法吧 AP两个vlan 一个是内网，一个是外网，为了不想让任何电脑都能通过输入密码方式来访访问内部网络，所以果断把内网扔到raidus上，采用域账户认证方式登陆，这样就可以避免非公司内部人员进入内网了 ，外网还是采用MAC+密码方式，实施下来感觉还行，就是那么多AP，没个AC，设置起来折腾人。
中级工程师
引用:原帖由 qixifeifei 于
12:10 发表
恩恩，你想的跟我想的都差不多，我一开始的设想就是用acl隔离开，因为就算用了无线认证，你还是要给他们分配单独账户，跟这个殊途同归。 上次跟你问的三层是否需要跟上段路由做默认路由，因为我当时觉得路由上有nat就可以把私网 ... 跟路由器直连的核心交换机需要添加一条缺省路由，下一跳就是路由器连核心交换机的接口地址。
助理工程师
引用:原帖由 流水潺潺 于
17:59 发表
跟路由器直连的核心交换机需要添加一条缺省路由，下一跳就是路由器连核心交换机的接口地址。 多谢了，这段日子老打扰你
中级工程师
引用:原帖由 qixifeifei 于
18:00 发表
多谢了，这段日子老打扰你 没事，你可以称设备还没买回来可以补充下网络方面的基础知识，比如VLAN、路由这些。
助理工程师
引用:原帖由 流水潺潺 于
18:05 发表
没事，你可以称设备还没买回来可以补充下网络方面的基础知识，比如VLAN、路由这些。 恩 基本上看的差不多了，基础方面的，现在在补细节在！！